Formation à la cybersécurité : un nouvel espoir

Il y a trois ans, le Département américain de la sécurité intérieure (DHS) annonçait le recrutement de 1 000 professionnels en cybersécurité.

Il y a trois ans, le Département américain de la sécurité intérieure (DHS) annonçait le recrutement de 1 000 professionnels en cybersécurité. Cette annonce avait surpris mes collègues et moi-même, car nous nous heurtions à l’époque aux pires difficultés pour recruter des candidats au profil adapté, même avec des salaires et des avantages divers attractifs. Trois ans plus tard, nous sommes toujours dans la même impasse. La pénurie de professionnels qualifiés sur le marché de la cybersécurité a empiré, non seulement aux Etats-Unis mais aussi en Europe. Les universités continuent de former des informaticiens compétents en programmation, mais à qui il faut inculquer les rudiments de la sécurité informatique une fois diplômés. Il est donc évident qu’un nouveau modèle de formation est nécessaire pour disposer rapidement de professionnels de la sécurité informatique dotés des compétences requises.

La création de  Cyber Centers est une initiative américaine récente, qui va dans le bon sens. En effet, l’objectif de ces centres de cybersécurité est de former des professionnels de la sécurité informatique en s’appuyant sur les mécanismes de formation existants. Aux Etats-Unis, ce type d’enseignement est dispensé par des établissements universitaires appelés collèges communautaires. 

Des cours d’administration système

Au cours de la première année, les étudiants qui rejoignent ces centres commencent par suivre des cours sur l’administration des systèmes Windows et Linux, puis ils étudient les fondements de l’administration réseau. Une fois cette étape validée, ils suivent des cours pratiques de cybersécurité et participent à une épreuve appelée NetWars. Cette compétition se déroule pendant deux jours. Les étudiants sont chargés de défendre un réseau réel contre les attaques lancées par une équipe composée de vétérans du marché de la sécurité. Les défenseurs du réseau doivent faire preuve d’esprit d’équipe, mettre à profit leurs connaissances de l’administration des systèmes et des réseaux et démontrer leur capacité à réagir rapidement face aux nouveaux défis.La formation se poursuit sous la forme de cours de cybersécurité destinés à étoffer les connaissances des étudiants. Pour parer au manque d’enseignants en cette matière, ces sessions se déroulent en ligne. Les étudiants sont formés à la criminalistique, aux tests d’intrusion, à la défense périmétrique et à la programmation sécurisée au moyen de cours en ligne et de travaux pratiques. Des épreuves et des examens réguliers valident les acquis des étudiants et permettent d’apprécier leur capacité à gérer les nouveaux défis qui s’imposent à eux. Le programme se termine par un stage de six mois dans une entreprise qui sponsorise le cursus afin que ces futurs professionnels puissent utiliser leur expertise dans des situations concrètes. 

Prêt à embaucher des jeunes diplômés

Une version pilote de ce programme a débuté en 2012. Elle a suscité un vif intérêt, avec plus de 600 candidatures déposées pour 20 places disponibles. Personnellement, je suis convaincu que ce projet montre l’exemple car il repose sur les mécanismes de formation disponibles. En outre, ce programme valorise les connaissances informatiques acquises par ces jeunes tout en les associant aux aspects pratiques de la cybersécurité qui ne sont pas enseignés par les établissements traditionnels. Je suis pour ma part prêt à embaucher ces jeunes professionnels dès qu’ils auront terminé leur formation, et j’encourage le développement de ce type d’initiatives dans d’autres pays.  En France, les formations en sécurité informatique sont essentiellement dispensées par des écoles d’ingénieurs. Le lancement de l’école 42, par Xavier Niel, pourrait bien être l’occasion de lancer une version pilote du programme Cyber Centers en France.